Metodika hodnocení úrovně kybernetické bezpečnosti
Loading...
Date
Authors
Podešva, Lukáš
ORCID
Advisor
Referee
Mark
P
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta podnikatelská
Abstract
V dnešní digitální éře je zajištění kybernetické bezpečnosti klíčové pro ochranu podnikových aktiv. Přestože existuje mnoho nástrojů, metodik a vědeckých přístupů pro hodnocení kybernetické bezpečnosti, chybí metodika, která by implementovala nejvýznamnější vědecké ekonomické modely a zároveň by zohledňovala velikost organizace a sektor ve kterém působí. Tento výzkum je zaměřen právě na nalezení takové metodiky, která stanovuje výkon kybernetické bezpečnosti a hodnotí úroveň klíčových vnitřních procesů v oblasti kybernetické bezpečnosti. Součástí je také ekonomický model pro hodnocení návratnosti investic do kybernetické bezpečnosti na základě dosažených výsledků jednotlivých procesů. Výkon kybernetické bezpečnosti využívá tří mikroekonomické charakteristiky firem (roční obrat, počet koncových bodů v síti a počet zaměstnanců v kyberbezpečnosti). Výhodou těchto charakteristik je, že je díky nim možné zohlednit motivaci útočníku. Navrhovaná metodika byla sestavena na základě rozsáhlé literární rešerše a vstupů od expertů z oboru kybernetické a informační bezpečnosti. Byly definovány nejvýznamnější ekonomické modely a zásadní procesy v oblasti kybernetické bezpečnosti. Váhy používané v rámci navržené metodiky byly stanoveny na základě kvantitativního výzkumu a následně verifikovány odbornými konzultacemi s experty z oboru. Pro validaci celé metodiky byl vytvořen nástroj, který sloužil pro kvalitativní výzkum ve vybraných firmách a simulaci dopadů investic. Vývoj této metodiky má významný přínos pro oblast kybernetické bezpečnosti tím, že poskytuje spolehlivý nástroj pro hodnocení a srovnání bezpečnostní výkonnosti. Umožňuje organizacím lépe pochopit své bezpečnostní slabiny a posiluje jejich schopnost reagovat na potenciální hrozby. Navíc, díky jeho škálovatelnému a flexibilnímu designu, může být snadno přizpůsoben různým průmyslovým odvětvím a velikostem organizací. Tato metodika je určená především pro malé a střední firmy, které nedisponují významnými prostředky pro investice do oblasti kybernetické bezpečnosti, ale chtějí tuto oblast systematicky řídit.
In today's digital era, ensuring cyber security is critical to protecting corporate assets. Although there are many tools, methodologies and scientific approaches for evaluating cyber security, there is a lack of a methodology that would implement the most important scientific economic models and at the same time consider the size of the organization and the sector in which it operates. This research is aimed precisely at finding such a methodology that determines the performance of cyber security and evaluates the level of key internal processes in the field of cyber security. It also includes an economic model for assessing the return on investment in cyber security based on the achieved results of individual processes. Cybersecurity performance uses three microeconomic characteristics of firms (annual turnover, number of network endpoints, and number of cybersecurity employees). The advantage of these characteristics is that thanks to them it is possible to consider the attacker's motivation. The proposed methodology was compiled based on extensive literature research and input from experts in the field of cyber and information security. The most important economic models and essential processes in the field of cyber security were defined. The weights used in the framework of the proposed methodology were determined on the basis of quantitative research and subsequently verified by professional consultations with experts from the field. To validate the entire methodology, a tool was created that was used for qualitative research in selected companies and simulation of the impact of investments. The development of this methodology has a significant contribution to the field of cyber security by providing a reliable tool for evaluating and comparing security performance. It enables organizations to better understand their security vulnerabilities and strengthens their ability to respond to potential threats. Moreover, thanks to its scalable and flexible design, it can be easily adapted to different industries and sizes of organizations. This methodology is primarily intended for small and medium-sized companies that do not have significant funds for investments in the field of cyber security but want to systematically manage this area.
In today's digital era, ensuring cyber security is critical to protecting corporate assets. Although there are many tools, methodologies and scientific approaches for evaluating cyber security, there is a lack of a methodology that would implement the most important scientific economic models and at the same time consider the size of the organization and the sector in which it operates. This research is aimed precisely at finding such a methodology that determines the performance of cyber security and evaluates the level of key internal processes in the field of cyber security. It also includes an economic model for assessing the return on investment in cyber security based on the achieved results of individual processes. Cybersecurity performance uses three microeconomic characteristics of firms (annual turnover, number of network endpoints, and number of cybersecurity employees). The advantage of these characteristics is that thanks to them it is possible to consider the attacker's motivation. The proposed methodology was compiled based on extensive literature research and input from experts in the field of cyber and information security. The most important economic models and essential processes in the field of cyber security were defined. The weights used in the framework of the proposed methodology were determined on the basis of quantitative research and subsequently verified by professional consultations with experts from the field. To validate the entire methodology, a tool was created that was used for qualitative research in selected companies and simulation of the impact of investments. The development of this methodology has a significant contribution to the field of cyber security by providing a reliable tool for evaluating and comparing security performance. It enables organizations to better understand their security vulnerabilities and strengthens their ability to respond to potential threats. Moreover, thanks to its scalable and flexible design, it can be easily adapted to different industries and sizes of organizations. This methodology is primarily intended for small and medium-sized companies that do not have significant funds for investments in the field of cyber security but want to systematically manage this area.
Description
Citation
PODEŠVA, L. Metodika hodnocení úrovně kybernetické bezpečnosti [online]. Brno: Vysoké učení technické v Brně. Fakulta podnikatelská. 2023.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Řízení a ekonomika podniku
Comittee
doc. Ing. Marie Pavláková Dočekalová, Ph.D. (předseda)
prof. Ing. Petr Dostál, CSc. (člen)
doc. Ing. Lucie Kaňovská, Ph.D. (člen)
doc. Ing. Eva Lajtkepová, Ph.D. (člen)
prof. Ing. Vojtěch Koráb, Dr., MBA (člen)
prof. Mgr. Roman Jašek, Ph.D. (člen)
doc. Ing. Daniel Němec, Ph.D. (člen)
Date of acceptance
Defence
1. Z jakého důvodu byly v rámci dotazníku z portálu ZEFIS využity jen čtyři otázky zmiňované v příloze? Nebylo možné získat i další užitečné charakteristiky firem a jak by se daly využít pro vyhodnocení pravděpodobnosti kybernetických incidentů a faktorů, které je mohou ovlinit?
2. Jaká omezení či zkreslení může přinášet ukazatel počtu koncových bodů? Nabízely by se nějaké jiné a relativně snadno dostupné či reportované ukazatele?
3. Jaká omezení či zkreslení může přinášet ukazatel technologické efektivity (vztah 9)? Jakou roli zde může hrát např. typ výrobního podniku?
4. Jaká omezení či zkreslení může přinášet ukazatel produktivity kyberbezpečnosti (vztah 10)? Dá se říct, že je vyšší či nižší ukazatel lepší? A jakou metodikou vyhodnotit, kdo je „zaměstnancem v oblasti kybernetické bezpečnosti“?
5. Na jakém základě vznikla tabulka 4.6 (váhy procesů na mitigaci rizika), jaká míra homogenity či heterogenity je s nimi v dílčích položkách spojena napříč podniky a jak by se to případně mělo či dalo zohlednit v navrhované metodice?
6. Bude možná výsledky disertační práce použít též pro veřejnou správu? Jak je chápán pojem „organizace“? Zahrnuje též veřejnou správu?
7. Jak je chápán pojem „nejnovější“ v kontextu disertační práce?
8. Na základě, kterých postulátů byly stanoveny výzkumné otázky?
9. Byl v disertační práci použit postup deduktivní, či induktivní?
10. Jak byly stanoveny váhy jednotlivých procesů, tab. 4.6?
11. Proč byly pro ověření vybrány pouze 3 firmy?
12. Jak byli vybráni respondenti pro strukturované rozhovory?
13. Jaké metody hodnocení strukturovaných rozhovorů byly použity?
14. Jaká jsou hlavní kritéria, podle kterých metodika hodnotí efektivitu kybernetické bezpečnosti v organizacích, a jaké konkrétní výkonnostní ukazatele jsou v metodice zahrnuty?
15. Jakým způsobem metodika zohledňuje velikost organizace a její sektor, a jak se mění její doporučení pro malé a střední podniky oproti větším firmám?
16. Jaká je návratnosti investic do kybernetické bezpečnosti podle navrženého ekonomického modelu, a jakým způsobem metodika měří vliv bezpečnostních opatření na celkovou finanční výkonnost organizace?
Doktorand odpověděl na položené dotazy. Komise hodnotí vystoupení doktoranda kladně.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení